Vor einigen Monaten habe ich von kyrillischen Buchstaben in Spam- und Phishingmails geschrieben, die leicht mit unseren lateinischen verwechselt werden können.1 Diesen Gedanken haben Ross Anderson und Nicholas Boucher in Ihrem Paper “Trojan Source: Invisible Vulnerabilities” weiter ausgeführt2 und auf diverse Compiler, Editoren und Tools in der Softwareentwicklung geschaut. Das Ergebnis ist niederschmetternd und leider nicht wirklich überraschend. Der Umgang mit Homoglyphen3 steht in vielen Programmiersprachen und Ihren Code-Werkzeugen auf ganz wackeligen Füßen. Read more

Fest verkabelte Netzwerke werden üblicherweise mit zahlreichen Sicherheitsmerkmalen bedacht. Bei Drahtlosnetzwerken hingegen bleiben Admins oft blind gegenüber Einbruchsversuchen, die sich dank kostengünstiger Gadgets auch von Laien durchführen lassen. Abhilfe schafft ein Wireless Intrusion Detection System (WIDS). Klingt teuer, ist es aber nicht. Ein Raspi, ein WLAN-Stick und freie Open-Source Software reichen aus. In der kommenden c’t Ausgabe 19/2021 ab dem 28. August zeige ich in einem mehrseitigen “Hardcore”-Beitrag, wie sich das eigene Drahtlosnetzwerk besser schützen lässt1. Read more

Auf dem langen, manchmal steinigem Weg zur Informationssicherheit sind die wahren Helden nicht die schicken Firewalls oder Virenscanner mit brachialen, nordischen Namen. Es sind auch nicht die teuren, fancy IDS/IPS Spielzeuge mit viel Magic (oder war’s doch Glitzer?). Nein, es sind diese unscheinbaren Zeitgenossen im Bild, die erst eine saubere und vor allem “lebende” Inventarisierung ermöglichen. Zu wissen, was, wo, in welchem Zustand, von wem, wie lange genutzt wird - unbezahlbar. Read more

Die Tage war ich auf der Suche nach einem ganz besonderen Musikstück. Es handelt sich um ein Lied aus der 2017er Animeverfilmung von “Ghost in the Shell” mit Scarlett Johansson. Genauer: Die offizielle Trailermusik1, die nicht im Score aufgenommen wurde und daher in keinem der üblichen Musik-Stores zu finden ist. Das ist der Nachteil, wenn einige Wenige eine ganze Branche technologisch und juristisch unter Kontrolle halten. Bei dem begehrten Musikstück handelt es sich um die Cyberpunk-Coverversion des 80er Jahre Liedes “Enjoy the Silence” von Depeche Mode, neu interpretiert von Joel Burleson2 aka Ki:Theory3. Read more

Zwei Ereignisse der letzten Tage möchte ich kurz im Microblog rekapitulieren: Das erste ist ein Gastbeitrag in der F.A.Z. von der Microsoft Deutschland Chefin Dr. Marianne Janik1. Ich musste zweimal die Autorenkennzeichnung prüfen, denn Ihre Message entspricht ganz und gar nicht dem, was die üblichen Windows-Jünger aus Fachhandel, IT-Consulting und Management von sich geben: Für Nutzer – ob Unternehmen, Behörden oder Privatpersonen – wird künftig kaum ein Weg mehr an offener Software vorbeiführen. Read more

Die Kommunale Gemeinschaftsstelle für Verwaltungsmanagement hat ein Arbeitspapier zu freier Software in Verwaltungen und öffentlichen Einrichtungen veröffentlicht1. Thema und Zeitpunkt hätte kaum besser gewählt sein können: Der Landkreis Anhalt-Bitterfeld hat gestern den Katastrophenfall ausgerufen. Durch einen Ransomware-Vorfall in dessen Microsoft-zentrierter IT-Infrastruktur sind zentrale Dienste für Wochen ausgefallen. Leistungen z.B. für Bedürftige, Löhne und Gehälter können nicht ausgezahlt werden.2 Es ist Zeit mit den immer gleichen Vorurteilen und vermeintlichen Argumenten aufzuräumen, die bar jeder Grundlage vorgetragen werden. Ich zitiere Full-Text das Kapitel 4 des unter einer CC-Lizenz stehenden Positionspapiers3, das in weiten Teilen auch auf Unternehmen übertragbar ist. Die Fußnoten zu den einzelnen Aussagen sind direkt aus dem Original-PDF zu entnehmen: Read more

Forscher der Ruhr-Universität Bochum, der Universität Paderborn sowie der Universität Münster haben schwerwiegende Sicherheitslücken bei der Implementierung von TLS-Verschlüsselungen in gängigen Internettechnologien entdeckt, die effektiv zum Aufbrechen bzw. Übernahme führen können. Für Ihr Paper haben Sie 1.4 Mio betroffene Systeme bei großen Herstellern und Hostern identifiziert. Nach Sichtung des Papers1 und der sekundären Nachrichten und Diskussionen kann ich mit Verbindlichkeit sagen, dass ich alle empfohlenen Best-Practices seit vielen Jahren anwende und mit meinen Systemen nicht betroffen bin. Lieber nehme ich Verbindungsabweisungen in Kauf und verweigere z.B. die Authentifizierung und somit Zustellung von Mails als faule Kompromisse bei der Sicherheit einzugehen. Read more

Das Netz ist voller Tipps zur Absicherung von SSH-Zugängen. Die Bandbreite reicht von SSH-Schlüsseln, Zwei-Faktor-Authentifizierung nach RFC 62381 bis zu drei Faktoren für alle mit Security-Fetisch. An der Praxis gehen diese gutgemeinten Vorschläge mitunter vorbei. Hier helfen andere Konzepte und Instrumente. Best-Practice für Ports im Allgemeinen und SSH-Ports im Besonderen: Keine offenen Ports im öffentlichen Internet anbieten. Eine Begrenzung auf ein Firmen-IP-Segment oder einzelne Jump-Server2 oder alternativ auch ein Port-Knocking3 ist die erste und meist auch beste Basis-Absicherung. Ein Blick in Shodan auf die 1.3 Mio Hosts aus Deutschland mit offenem Port 22 zeigt, dass dieses nicht von allen beherzigt wird4. Unverständlich und fahrlässig besonders bei Unternehmen mit Business-Anschlüssen und festen IPs. Read more

Teammitglieder, Verantwortliche, Unternehmen oder eine Gemeinschaft der Genannten brauchen eine sichere Umgebung für ein faires und transparentes Miteinander. Eine Versionsverwaltung1 wie Git2 leistet das by Design. Dabei ist Git längst kein Voodoo-Zauber von Nerds für Nerds noch ist es die einzige Art von Versionsverwaltung. Es bezieht sich auch längst nicht mehr nur auf Softwareentwicklung, sondern dient auch im Operations Technikern als Ressource für Konfigurationsdateien, Dokumentationen oder Referenz. Offene Schnittstellen zu Bots, Scripten und anderen Automatismen machen ein Git-Repository zum Grundgerüst eines Unternehmens. Zahlreiche grafische oder web-basierte Oberflächen helfen auch den technikfernen “Normalanwendern”. Read more

Viele PoCs erscheinen als simple Textdatei mit Verweisen auf Unternehmenswebsites oder Blogs. Der Reverse-Engineer Axel Souchet veröffentlicht seine PoCs auf einer mir sehr angenehmen und besseren Art: Als Git-Repository. Hier seine jüngste Veröffentlichung zum CVE-2021-28476 von vor wenigen Stunden, wie per RCE ein Gast einer HyperV-Umgebung ausbrechen kann1. Der weitere Verlauf einer Veröffentlichung ist nicht minder spannend, will etwas gelernt und auch verstanden werden. Und Rückfragen oder Ergänzungen gibt es fast immer zu etwas. Exemplarisch im Screenshot die Commits eines älteren PoC zum CVE-2019-9810 aus dem letzten Jahr2. Read more